Вредоносная программа TgRAT может делать снимки экрана, скачивать файлы и загружать данные с узла на управляющий сервер. Как она попадает на устройство?
Евгений Царев:
Есть такая категория вредоносов, их еще называют ратники. Это приложения, которые позволяют удаленно управлять каким-то узлом. Приложение устанавливается на компьютер, и кто-то издалека может подключиться к этой машине и увидеть экран, увидеть, как вы водите мышкой. По сути, здесь тоже ратник, но он с очень ограниченным функционалом, по всей видимости, он писался под конкретные машины, под конкретные задачи. Он умеет делать не очень много, но ровно то, что злоумышленникам и надо, потому что в этом приложении есть проверка имени машины, он проверяет на ту ли машину встал вредонос. Если он встал на ту машину, то начинаются дальнейшие действия. Из интересного — использование сервера, то есть в качестве сервера выбран Telegram, а конкретно закрытая группа в Telegram, куда после установки, после проверки имени машины приложение стучится и говорит: все, я установился туда, где я и должен был встать, и могу делать то, что должен делать. И начинает после этого сбрасывать файлы, делать снимки экрана, то, что злоумышленники и хотели сделать. Если говорить про то, куда может этот ратник встать, ему очень сложно встать туда, где стоит антивирусное средство с обновлениями. Он нацелен на специальные машины, которые не очень-то защищены. Если мы говорим про корпоративный сектор, если информационная безопасность построена корректно, его отловят, с этим проблем совершенно точно не возникнет.
Источник: BFM.RU
Сообщение Positive Technologies нашла вирус-шпион с управлением через Telegram появились сначала на Царев Евгений.